在數位化浪潮的推動下,Web2.0 與Web3.0 的交會已成為不可避免的趨勢。 CertiK 共同創辦人、哥倫比亞大學電腦系教授顧榮輝,受到 crypto.news 的邀請,就Web2.0 與Web3.0 交會所帶來的安全威脅進行了深入解讀:
Web3.0 的誕生被視為是建立一個更安全、更透明的互聯網的希望之光,它旨在解決中心化Web2.0 系統中長期存在的隱私和資料控制問題。然而,隨著Web3.0 的發展,它常常以危險的方式與Web2.0 網路互動;這種風險的交織,為新型網路安全威脅提供了滋生的土壤。如果不對這些潛在的問題加以控制,可能會破壞Web3.0 所提供的安全性。
儘管眾多科技愛好者在積極擁抱Web3.0 ,但實際上,從Web2.0 過渡到Web3.0 並不是一個沒有阻礙的平滑過程。在這個過程中,新出現的安全漏洞很容易被駭客和網路釣魚者所利用。因此,為了建構一個更安全的數位生態系統,Web3.0 首先需要重視並解決Web2.0 遺留下來的弱點。
Web2.0 與Web3.0 交會處的關鍵漏洞
Web2.0 和Web3.0 代表了網路資料處理的兩種截然不同的方式。 Web2.0 依賴中心化伺服器和資料收集模型,將權力集中在少數大公司手中。而Web3.0 透過區塊鏈的分散式記帳技術,將資料所有權交還給用戶,從而實現控制權的去中心化。
然而這兩個系統並非完全獨立,許多Web3.0 應用程式仍依賴Web2.0 的基礎設施,例如網域、儲存和 API。這種依賴關係使得Web3.0 同樣擁有Web2.0 的中心化缺陷。例如,使用雲端服務供應商進行鏈下儲存的Web3.0 平台,可能同樣容易受到伺服器漏洞的攻擊。同樣,那些具有Web2.0 介面的Web3.0 平台,也容易面臨網路釣魚攻擊和 DNS 劫持的風險。
網路釣魚攻擊:Web3.0 環境中的Web2.0 缺陷
網路釣魚攻擊一直是Web2.0 環境中長期存在的威脅。在Web3.0 中,其攻擊方式也基本上類似:攻擊者仿造合法平台的介面,誘騙用戶洩漏私鑰或簽署惡意交易。
這些攻擊利用了Web2.0 的缺陷,透過偽造網域和電子郵件詐騙的手段,誘使用戶相信他們正在與合法的去中心化平台互動。例如,針對 DeFi 平台的網路釣魚攻擊,可能會使用假冒的Web2.0 網站來誘騙用戶,進而竊取他們Web3.0 錢包中的資金。因此,Web2.0 和Web3.0 的融合為不法分子提供了將傳統網路釣魚攻擊與新技術結合的機會,對那些誤以為去中心化本身能提供全面保護的使用者構成了嚴重威脅。
Web3.0 的透明性和去中心化的安全優勢
儘管存在上述風險,Web3.0 仍然透過其去中心化技術和透明的框架為更安全的網路建置帶來了希望。作為Web3.0 支柱的區塊鏈是一本不可篡改的帳本,其防篡改能力遠勝於傳統Web2.0 資料庫。同時,智能合約消除了可能受到攻擊的第三方需求,而去中心化身份解決方案則讓用戶可以掌控自己的數位身份,有效降低了網路釣魚攻擊的風險。
除此之外,Web3.0 的透明性使用戶能夠即時驗證交易和審計系統,提供了在Web2.0 的不透明結構中難以達到的安全性和可問責水準。透過將控制權分散至多個節點,Web3.0 降低了在中心化系統中常見的大規模資料外洩的風險。
加速Web3.0 應用進程,降低網路安全風險
為了減少Web2.0 與Web3.0 重疊所帶來的新型安全風險,必須加速應用全面的去中心化系統。只要Web3.0 仍然部分依賴Web2.0 基礎設施,它就會繼續受到利用這兩套系統缺陷的混合攻擊。
去中心化系統在增強安全性方面的優勢是顯而易見的。例如,在 DeFi 領域,使用者無須依賴第三方平台即可直接進行交易,從而減少了第三方漏洞攻擊的風險。此外,建立在區塊鏈網路上的去中心化應用程式(Dapp)允許用戶在無須登入或避免中心化資料儲存的情況下仍能安全地與平台進行互動。
然而,要實現Web3.0 的全部潛力,開發者和產業領導者必須致力於建立獨立於Web2.0 運作的去中心化基礎設施。這意味著需要在去中心化儲存解決方案、身分協議、治理系統等相關賽道上進行投資孵化,所有這些努力都旨在降低目前依賴Web2.0 存在的固有風險,以創造一個更安全的數位環境。
